|
|
 | Bitguard Personlig Firewall?
Fra : Dan |
Dato : 20-12-03 11:59 |
| | |
 Christian E. Lysel (20-12-2003)
| Kommentar
Fra : Christian E. Lysel |
Dato : 20-12-03 13:38 |
|
In article <3fe42b88$0$29382$edfadb0f@dread15.news.tele.dk>, Dan wrote:
> Er der nogle som vil dele Pros og Cons med mig?
....Den mest effektive sikring og beskyttelse af computere
koblet til Internettet eller et Intranet...
.....Verdens bedste firewall...
Jeg ville anbefalde at købe 7 stk, så kan du
installere dem i lag, et lag der kan
tage hvert lag i tcp/ip modelen.
Du kan evt. også nøjes med at læse
http://groups.google.dk/groups?&threadm=bifctl%24foa%241%40sunsite.dk
http://www.snakeoil.dk/om
Jeg har skimmet manuelen igennem, og kan evt. 10 min finde
følgende:
1) Ingen beksyttelse imod script baseret kode, anbefaldingen
går på at du skal anvende en virus scanner. Ergo, falder hele
sikkerhedsmodellen fra hinanden hvis du bliver angrebet via
et script din virus scanner ikke kan genkende!
2) Der udfører ikke inspection på datapakke. Ergo stoler
de på klientens egen tcp/ip implementation.
3) En godkendt applikation har netadgang på basis af
hvilke protokoller der generelt er tilladt. Brugeren
kan således ikke se hvilken type traffik man
godkender, sålænge det generelt er tilladt.
Umiddelbart tolker jeg manualen som at listen over
tilladte protokoller er meget lang.
4) Mit første citat i indlægget forklarer den også
yder beskyttelse i et LAN, men manuelen anbefalder man
sætter trust op mellem klienter i et LAN.
--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/
| |
mrbitguard (29-12-2003)
| Kommentar
Fra : mrbitguard |
Dato : 29-12-03 16:43 |
|
Hej. Da jeg er en af programmørerne bag produktet, skal man selvfølgelig
være kritisk overfor hvad jeg skriver... 
Her er en lille gennemgang.
BitGuard tager sig hovedsageligt af to ting:
1) Proces-monitorering
2) Internet-blocking
Proces monitoren tager et "snapshot" af enhver proces, der starter.
Dette "snapshot" består af et proces-ID filnavn og checksum og en
security-attribut. På denne måde kan BitGuard til enhver tid genkende
alle processer. Disse oplysninger bruger BitGuard så til at evaluere
net-trafikken fra og til computeren. Den nye BitGuard (Version
2.4.0.124) gemmer oplysninger om alle datapakker, der forlader eller
ankommer til computeren. På denne måde kan man sammenligne BitGuard med
en dørvagt, der skriver folk i døren, når de forlader lokalet, og
sammenligner disse oplysninger, når personen returnerer. Som standard
vil kun personer, der er "skrevet i døren" få adgang til computeren,
altså kan kun indefra kommende programmer lave en netforbindelse
udadtil. Dette koncept kalder vi Dynamic Packet inspection. Derfor er
det ikke rigtigt, når der påstås at BitGuard ikke laver inspection på
datapakke...
Dersom BitGuard er en process-orienteret firewall, kan den selvfølgelig
ikke analysere script-baseret kode, da denne jo kører i konteksten af en
allerede godkendt process. Man skal huske på at scripts knytter sig til
funktionen af en hjemmeside, et dokument eller en e-mail, og derved
udgør et mere sublimt sikkerhedsproblem, der under alle omstændigheder
ikke kun kan behandles af en firewall alene.
Grunden til at vi anbefaler at man sætter et trust op i et LAN er, at
man oftest ønsker at andre computere også skal kunne deles om netværket.
Der er kun to protokoller tilladt i den nye BitGuard (TCP og UDP).
BitGuard understøtter derimod alle protokoller i verden (Der er præcist
256 muligheder), hvoraf de ca. 137 er veldefineret.
Gode ting ved produktet: BitGuard kører udelukkende kernel-mode, hvorved
man er sikret at ingen kan omgås produktsikkerheden udover hvis man
afinstallerer produktet. (Selve firewallen fylder ca. 76 kb!).
BitGuard indeholder også et sniffer-modul, der igen viser at den
inspicerer indeholdet af datapakker, der giver et helt nøjagtigt billede
af, hvad der sker, når net-traffik passerer ud eller ind.
--
Leveret af:
http://www.kandu.dk/
"Vejen til en hurtig løsning"
| |
Christian E. Lysel (29-12-2003)
| Kommentar
Fra : Christian E. Lysel |
Dato : 29-12-03 20:45 |
|
In article <3ff04c92$5$162$edfadb0f@dtext02.news.tele.dk>, mrbitguard wrote:
> Proces monitoren tager et "snapshot" af enhver proces, der starter.
> Dette "snapshot" består af et proces-ID filnavn og checksum og en
Hvad med brugere der automatisk opdatere deres system?
Vil de få så mange fejl, at de ignorer dette?
> security-attribut. På denne måde kan BitGuard til enhver tid genkende
> alle processer. Disse oplysninger bruger BitGuard så til at evaluere
> net-trafikken fra og til computeren. Den nye BitGuard (Version
> 2.4.0.124) gemmer oplysninger om alle datapakker, der forlader eller
> ankommer til computeren. På denne måde kan man sammenligne BitGuard med
> en dørvagt, der skriver folk i døren, når de forlader lokalet, og
> sammenligner disse oplysninger, når personen returnerer. Som standard
> vil kun personer, der er "skrevet i døren" få adgang til computeren,
> altså kan kun indefra kommende programmer lave en netforbindelse
> udadtil. Dette koncept kalder vi Dynamic Packet inspection. Derfor er
> det ikke rigtigt, når der påstås at BitGuard ikke laver inspection på
> datapakke...
Vil du påstår at i kikke på pakkerne?
> Dersom BitGuard er en process-orienteret firewall, kan den selvfølgelig
> ikke analysere script-baseret kode, da denne jo kører i konteksten af en
> allerede godkendt process. Man skal huske på at scripts knytter sig til
> funktionen af en hjemmeside, et dokument eller en e-mail, og derved
> udgør et mere sublimt sikkerhedsproblem, der under alle omstændigheder
> ikke kun kan behandles af en firewall alene.
> Grunden til at vi anbefaler at man sætter et trust op i et LAN er, at
> man oftest ønsker at andre computere også skal kunne deles om netværket.
> Der er kun to protokoller tilladt i den nye BitGuard (TCP og UDP).
> BitGuard understøtter derimod alle protokoller i verden (Der er præcist
> 256 muligheder), hvoraf de ca. 137 er veldefineret.
*suk* er en protokol i Jeres verden en IP protokol?
> Gode ting ved produktet: BitGuard kører udelukkende kernel-mode, hvorved
> man er sikret at ingen kan omgås produktsikkerheden udover hvis man
> afinstallerer produktet. (Selve firewallen fylder ca. 76 kb!).
Giver du også denne garanti under windows 98?
> BitGuard indeholder også et sniffer-modul, der igen viser at den
> inspicerer indeholdet af datapakker, der giver et helt nøjagtigt billede
> af, hvad der sker, når net-traffik passerer ud eller ind.
Men på den anden side, siger i også at den ikke sløver
preformancen, da den virker på en anden måde.
--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/
| |
 mrbitguard (01-01-2004)
| Kommentar
Fra : mrbitguard |
Dato : 01-01-04 18:56 |
|
1) En bruger, der automatisk updaterer sit system, vil igen få
spørgsmålet om netadgang for de filer, der er blevet opdateret, da deres
checksum er ændret. Vi har valgt ikke at automatisere denne process, da
en "Opdatering" også kan være en modifikation fra en virus... Da vi pt
er i gang med at implementere et antivirus produkt vil vi snart tage
spørsmålet om checksums ændringer som følge af opdateringer op til
fornyet overvejelse.
2) Windows platformene (NT) har 5 netværks-lag (Se DDK dokumentationen).
Ved hvert af disse lag tilføjes noget data til hver pakke. (MAC-address,
IP-Header osv.). Derudover består hver pakke også af protokol-specifik
data. BitGuard firewallen læser disse data direkte ud fra pakkerne, der
stømmer igennem på NDIS-laget. Dette gøres ved at travesere al data
igennem (Pakker på dette niveau består som dobbelt hægtede lister, der
kommer fra netkortets addresse space). Vi har gjort ret meget ud af at
læse al denne data, så jo, vi læser data fra pakkerne. Vi bruger dog
ikke dataindholdet fra den øvrige pakke til noget. (Tekst - indhold,
brugerspecifik data og andet endnu).
3) Husk på at en IP-protokol kun er en enkelt af de 256 mulige
protokoller. Vi ser protokollerne udfra ethernet standarden. (Skønt
BitGuard er i stand til også at behandle token-ring og appletalk, har vi
besluttet kun at lade produktet behandle ethernet). Se IANA's hjemmeside
om definitioner på disse.
4) BitGuard består af en Vxd i 9x miljøerne. Denne VxD er "statically
loaded", og kan ikke unloades uden en reboot. Denne garanti kan vi altså
også give til 9x.
5) Det er korrekt at vores påstand er at BitGuard ikke sløver
perfomance. Dette har vi målt ved at overføre store mængder data fra en
computer til en anden via hh. 10 mbit og 100 mbit netværk med og uden
firewallen, og set på differencen af hastigheden samt CPU-load. På et 10
mbit netværk og en 800 MHz pentium kunne vi ikke se noget overhovedet.
På et 100 mbit (Igen 800 Mhz) var der ca. 1%. Vi har repeteret disse
test på 3GHz maskiner, og varieret disse til Win 98, win 98 Se, Me,
2000, Xp ()x serierne dog ikke til 3 GHz maskiner, da platformene ikke
kan installeres på sådanne maskiner). Vi fandt at på 3 GHz maskinerne
var der de samme udsving, hvilket fik os til at konkludere at det ikke
udelukkende kommer an på CPU, i forbindelse med Firewall filtrering.
--
Leveret af:
http://www.kandu.dk/
"Vejen til en hurtig løsning"
| |
Christian E. Lysel (01-01-2004)
| Kommentar
Fra : Christian E. Lysel |
Dato : 01-01-04 23:20 |
|
In article <3ff4605d$0$153$edfadb0f@dtext02.news.tele.dk>, mrbitguard wrote:
> 1) En bruger, der automatisk updaterer sit system, vil igen få
> spørgsmålet om netadgang for de filer, der er blevet opdateret, da deres
> checksum er ændret. Vi har valgt ikke at automatisere denne process, da
> en "Opdatering" også kan være en modifikation fra en virus... Da vi pt
> er i gang med at implementere et antivirus produkt vil vi snart tage
> spørsmålet om checksums ændringer som følge af opdateringer op til
> fornyet overvejelse.
Jeg gentager mit spørgsmål,
...."Vil de få så mange fejl, at de ignorer dette?"...
> 2) Windows platformene (NT) har 5 netværks-lag (Se DDK dokumentationen).
> Ved hvert af disse lag tilføjes noget data til hver pakke. (MAC-address,
Ja, en header.
> IP-Header osv.). Derudover består hver pakke også af protokol-specifik
> data. BitGuard firewallen læser disse data direkte ud fra pakkerne, der
Det kalder jeg en payload.
> stømmer igennem på NDIS-laget. Dette gøres ved at travesere al data
> igennem (Pakker på dette niveau består som dobbelt hægtede lister, der
> kommer fra netkortets addresse space). Vi har gjort ret meget ud af at
> læse al denne data, så jo, vi læser data fra pakkerne. Vi bruger dog
> ikke dataindholdet fra den øvrige pakke til noget. (Tekst - indhold,
> brugerspecifik data og andet endnu).
I læser fra ethernet laget, men hvilket lag laver i inspektion på?
Hvad bruger i denne inspektion til?
Hvorfor mener i inspektionen er dynamisk (Dynamic Packet inspection)?
Tager i også hånd om ICMP, IP-fragmentering, ECN, DF, MF, Checksum,
TOS og ligende?
> 3) Husk på at en IP-protokol kun er en enkelt af de 256 mulige
> protokoller. Vi ser protokollerne udfra ethernet standarden. (Skønt
Hvilke protokoller understøtter i, og i hvilken grad?
> BitGuard er i stand til også at behandle token-ring og appletalk, har vi
> besluttet kun at lade produktet behandle ethernet). Se IANA's hjemmeside
Hvad med PPP forbindelser?
> om definitioner på disse.
For mig lignder dette blot en hvilken som helst anden filter firewall,
dog virker det mere primitivt og begrænsende hvad man definere af
regler i firewallen.
> 4) BitGuard består af en Vxd i 9x miljøerne. Denne VxD er "statically
> loaded", og kan ikke unloades uden en reboot. Denne garanti kan vi altså
> også give til 9x.
Dvs. du giver den garanti at ..."at ingen kan omgås produktsikkerheden"...
under windows 98?
Har i udlovet en premie til den kan? (Ifølge dig kan det jo ikke lade sig
gøre, hvorfor ikke så udlove en premie?)
> 5) Det er korrekt at vores påstand er at BitGuard ikke sløver
> perfomance. Dette har vi målt ved at overføre store mængder data fra en
> computer til en anden via hh. 10 mbit og 100 mbit netværk med og uden
> firewallen, og set på differencen af hastigheden samt CPU-load. På et 10
> mbit netværk og en 800 MHz pentium kunne vi ikke se noget overhovedet.
> På et 100 mbit (Igen 800 Mhz) var der ca. 1%. Vi har repeteret disse
> test på 3GHz maskiner, og varieret disse til Win 98, win 98 Se, Me,
> 2000, Xp ()x serierne dog ikke til 3 GHz maskiner, da platformene ikke
> kan installeres på sådanne maskiner). Vi fandt at på 3 GHz maskinerne
> var der de samme udsving, hvilket fik os til at konkludere at det ikke
> udelukkende kommer an på CPU, i forbindelse med Firewall filtrering.
Det virker useriøst at lave en preformance test, hvor man
kun snakker om båndbredden.
Hvor mange pakker i sekundet blev der genereret fra test miljøet?
--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/
| |
mrbitguard (12-01-2004)
| Kommentar
Fra : mrbitguard |
Dato : 12-01-04 19:50 |
|
I læser fra ethernet laget, men hvilket lag laver i inspektion på?
- Fra NDIS-laget.
Hvad bruger i denne inspektion til?
- Determinere om pakken skal droppes eller passeres udfra firewallens
regelsæt.
Hvorfor mener i inspektionen er dynamisk (Dynamic Packet inspection)?
- Fordi vi holder en lokal kopi af trafikken, sådan at enhver
forbindelse holdes i ave.
--
Leveret af:
http://www.kandu.dk/
"Vejen til en hurtig løsning"
| |
mrbitguard (12-01-2004)
| Kommentar
Fra : mrbitguard |
Dato : 12-01-04 19:59 |
|
I læser fra ethernet laget, men hvilket lag laver i inspektion på?
- Fra NDIS-laget.
Hvad bruger i denne inspektion til?
- Determinere om pakken skal droppes eller passeres udfra firewallens
regelsæt (Samt dynamic listen).
Tager i også hånd om ICMP, IP-fragmentering, ECN, DF, MF, Checksum, TOS
og ligende?
- Firewallen tager sig af ICMP på protokolniveau. IP-fragmentering og
checksum bevirker ingen status ændring af connectivity.
Hvorfor mener i inspektionen er dynamisk (Dynamic Packet inspection)?
- Fordi vi holder en lokal kopi af trafikken, sådan at enhver
forbindelse holdes i ave. Hver af disse forbindelser repræsenterer et
fireobject, der kan skifte status alt afhængig protokollen. Deraf
Dynamic packet inspection.
Hvilke protokoller understøtter i, og i hvilken grad?
- I princippet alle. UDP og TCP laver vi dynamic packet inspecion på, de
andre "normale" regel-opslag.
Hvad med PPP forbindelser?
- PPP (og PPPoe) forbindelser går igennem NDIS som ethernet, og
understøttes derfor også
Det virker useriøst at lave en preformance test, hvor man
kun snakker om båndbredden.
- Forklar næremere hvorfor dette er en useriøs test.
Hvor mange pakker i sekundet blev der genereret fra test miljøet?
5.000 - 10.000 pr. sekund.
MVH
Axel Klint
--
Leveret af:
http://www.kandu.dk/
"Vejen til en hurtig løsning"
| |
mrbitguard (01-01-2004)
| Kommentar
Fra : mrbitguard |
Dato : 01-01-04 18:56 |
|
1) En bruger, der automatisk updaterer sit system, vil igen få
spørgsmålet om netadgang for de filer, der er blevet opdateret, da deres
checksum er ændret. Vi har valgt ikke at automatisere denne process, da
en "Opdatering" også kan være en modifikation fra en virus... Da vi pt
er i gang med at implementere et antivirus produkt vil vi snart tage
spørsmålet om checksums ændringer som følge af opdateringer op til
fornyet overvejelse.
2) Windows platformene (NT) har 5 netværks-lag (Se DDK dokumentationen).
Ved hvert af disse lag tilføjes noget data til hver pakke. (MAC-address,
IP-Header osv.). Derudover består hver pakke også af protokol-specifik
data. BitGuard firewallen læser disse data direkte ud fra pakkerne, der
stømmer igennem på NDIS-laget. Dette gøres ved at travesere al data
igennem (Pakker på dette niveau består som dobbelt hægtede lister, der
kommer fra netkortets addresse space). Vi har gjort ret meget ud af at
læse al denne data, så jo, vi læser data fra pakkerne. Vi bruger dog
ikke dataindholdet fra den øvrige pakke til noget. (Tekst - indhold,
brugerspecifik data og andet endnu).
3) Husk på at en IP-protokol kun er en enkelt af de 256 mulige
protokoller. Vi ser protokollerne udfra ethernet standarden. (Skønt
BitGuard er i stand til også at behandle token-ring og appletalk, har vi
besluttet kun at lade produktet behandle ethernet). Se IANA's hjemmeside
om definitioner på disse.
4) BitGuard består af en Vxd i 9x miljøerne. Denne VxD er "statically
loaded", og kan ikke unloades uden en reboot. Denne garanti kan vi altså
også give til 9x.
5) Det er korrekt at vores påstand er at BitGuard ikke sløver
perfomance. Dette har vi målt ved at overføre store mængder data fra en
computer til en anden via hh. 10 mbit og 100 mbit netværk med og uden
firewallen, og set på differencen af hastigheden samt CPU-load. På et 10
mbit netværk og en 800 MHz pentium kunne vi ikke se noget overhovedet.
På et 100 mbit (Igen 800 Mhz) var der ca. 1%. Vi har repeteret disse
test på 3GHz maskiner, og varieret disse til Win 98, win 98 Se, Me,
2000, Xp ()x serierne dog ikke til 3 GHz maskiner, da platformene ikke
kan installeres på sådanne maskiner). Vi fandt at på 3 GHz maskinerne
var der de samme udsving, hvilket fik os til at konkludere at det ikke
udelukkende kommer an på CPU, i forbindelse med Firewall filtrering.
--
Leveret af:
http://www.kandu.dk/
"Vejen til en hurtig løsning"
| |
mrbitguard (01-01-2004)
| Kommentar
Fra : mrbitguard |
Dato : 01-01-04 18:57 |
|
1) En bruger, der automatisk updaterer sit system, vil igen få
spørgsmålet om netadgang for de filer, der er blevet opdateret, da deres
checksum er ændret. Vi har valgt ikke at automatisere denne process, da
en "Opdatering" også kan være en modifikation fra en virus... Da vi pt
er i gang med at implementere et antivirus produkt vil vi snart tage
spørsmålet om checksums ændringer som følge af opdateringer op til
fornyet overvejelse.
2) Windows platformene (NT) har 5 netværks-lag (Se DDK dokumentationen).
Ved hvert af disse lag tilføjes noget data til hver pakke. (MAC-address,
IP-Header osv.). Derudover består hver pakke også af protokol-specifik
data. BitGuard firewallen læser disse data direkte ud fra pakkerne, der
stømmer igennem på NDIS-laget. Dette gøres ved at travesere al data
igennem (Pakker på dette niveau består som dobbelt hægtede lister, der
kommer fra netkortets addresse space). Vi har gjort ret meget ud af at
læse al denne data, så jo, vi læser data fra pakkerne. Vi bruger dog
ikke dataindholdet fra den øvrige pakke til noget. (Tekst - indhold,
brugerspecifik data og andet endnu).
3) Husk på at en IP-protokol kun er en enkelt af de 256 mulige
protokoller. Vi ser protokollerne udfra ethernet standarden. (Skønt
BitGuard er i stand til også at behandle token-ring og appletalk, har vi
besluttet kun at lade produktet behandle ethernet). Se IANA's hjemmeside
om definitioner på disse.
4) BitGuard består af en Vxd i 9x miljøerne. Denne VxD er "statically
loaded", og kan ikke unloades uden en reboot. Denne garanti kan vi altså
også give til 9x.
5) Det er korrekt at vores påstand er at BitGuard ikke sløver
perfomance. Dette har vi målt ved at overføre store mængder data fra en
computer til en anden via hh. 10 mbit og 100 mbit netværk med og uden
firewallen, og set på differencen af hastigheden samt CPU-load. På et 10
mbit netværk og en 800 MHz pentium kunne vi ikke se noget overhovedet.
På et 100 mbit (Igen 800 Mhz) var der ca. 1%. Vi har repeteret disse
test på 3GHz maskiner, og varieret disse til Win 98, win 98 Se, Me,
2000, Xp ()x serierne dog ikke til 3 GHz maskiner, da platformene ikke
kan installeres på sådanne maskiner). Vi fandt at på 3 GHz maskinerne
var der de samme udsving, hvilket fik os til at konkludere at det ikke
udelukkende kommer an på CPU, i forbindelse med Firewall filtrering.
MVH.
MrBitGuard
--
Leveret af:
http://www.kandu.dk/
"Vejen til en hurtig løsning"
| |
mrbitguard (01-01-2004)
| Kommentar
Fra : mrbitguard |
Dato : 01-01-04 19:05 |
|
Ps.: Jeg beklager hvis mit indlæg er kommet i "bidder". Jeg har en
gammel vane med at bruge carrage return ved linjeskift, og det bliver
fra tid til anden misforstået som "send indlæg" af browseren...
--
Leveret af:
http://www.kandu.dk/
"Vejen til en hurtig løsning"
| |
Hans Joergensen (01-01-2004)
| Kommentar
Fra : Hans Joergensen |
Dato : 01-01-04 19:48 |
|
mrbitguard wrote:
> Ps.: Jeg beklager hvis mit indlæg er kommet i "bidder". Jeg har en
> gammel vane med at bruge carrage return ved linjeskift, og det bliver
> fra tid til anden misforstået som "send indlæg" af browseren...
Du kan bare holde op med at poste fra kandu.dk .. så sker den slags
ikke..
På forhånd tak.
// Hans
--
Sidevogn til Russer MC (Ural/Dnepr) samt militær-udstyr til denne
købes for rimelig pris!
| |
Wood (08-01-2004)
| Kommentar
Fra : Wood |
Dato : 08-01-04 03:53 |
|
http://www.effectmatrix.com/easysec
EasySec Firewall SDK with source code can help you.
NDIS Hooking and SPI hooking technology is used in the SDK. Packet are
filtered with two layer -- application layer(SPI hook) and kernel
layer(NDIS hook)
| |
mrbitguard (12-01-2004)
| Kommentar
Fra : mrbitguard |
Dato : 12-01-04 20:04 |
|
"Wood" skrev d. 08-01-04 03:53 dette indlæg :
> http://www.effectmatrix.com/easysec
>
> EasySec Firewall SDK with source code can help you.
> NDIS Hooking and SPI hooking technology is used in the SDK. Packet are
> filtered with two layer -- application layer(SPI hook) and kernel
> layer(NDIS hook)
Jeg takker mange gange for udviklingsinteressen. Desværre kan NDIS samt
SPI hooking langtfra løse problemerne der stilles til en personlig
firewall idag. Problemet er, at med denne type firewall kan man ikke
determinere konteksten af pakkerne, men kun selve pakken og indholdet.
--
Leveret af:
http://www.kandu.dk/
"Vejen til en hurtig løsning"
| |
|
|